Siber saldırganlar tespit edilmemek için pek çok yol deniyor. Ünlü magecart saldırılarında kullanılan yöntemlerden biri ise verileri JPG dosyasına kaydetmek…

2019’da adından sıkça söz ettiren ve e-ticaret sitelerine yerleşerek kredi kartı ve diğer kritik bilgileri içeren Magecart saldırılarında, saldırganların verileri gizlemek için JPG formatındaki resim dosyalarından faydalandığı da tespit edildi.

Siber güvenlik şirketi Sucuri’nin araştırmacıları tarafından tespit edilen bu durum, siber saldırganların ne kadar yaratıcı fikirlerle dolu olduğunun da bir göstergesi. Araştırmacılar, e-ticaret platformu Magento 2 üzerinde yaptıkları bir çalışmada, saldırganların zararlı kod enjekte etikleri bir web sitesinde eriştikleri bilgileri JPG formatında bir resim dosyasına kaydederek kendilerini gizlediğini orgtaya çıkardı.

Araştırma ekibinden Luke Leal, “Magento 2 PHP Credit Card Skimmer Saves to JPG” başlıklı yazısında ödeme sayfasında bulunan verilerin bir JPG dosyasına kaydedilmeden önce platform üzerinde saldırganlar tarafından belirlenen dosyalara kodlandığını tespit ettiklerini açıkladı. Leal ayrıca, saldırganların PHP kodunu ./vendor/magento/module-customer/Model/Session.php isimli bir dosyaya enjekte etiklerini, ardından kendi kodlarını yüklemek için de “getAuthenticates” fonksiyonunu kullandıklarını belirtti. Ele geçirilen bilgilerin JPG dosyasına kaydedilmesinin saldırganlara çaldıkları bilgilere rahatça erişme ve indirme kolaylığı sunduğuna işaret eden Leal, saldırganların Magenta içindeki farklı parametreleri de kullanarak sistemi atlattıklarını belirtti.

Siteye alışveriş için giren kurbanların isim, adres, ödeme yaptığı karta dair ayrıntılar, telefon numaraları dahil olmak üzere pek çok bilgiyi verdiğini kaydeden Leal, bu tip bilgilerin farklı yerlerde kredi kartı sahtekarlığı ya da hedefli e-posta tabanlı spam gönderimi veya kimlik avı gibi farklı suçlar için kullanılma ihtimalinin olduğunu da kaydetti.